CNCERT发布《OpenClaw安全指南》：这只“龙虾”为何必须戴上“手套”？

OpenClaw（俗称“龙虾”）正从极客玩具迅速转变为大众生产力工具，但伴随其“动手”能力而来的，是远超传统AI的、系统级的安全风险。国家互联网应急中心（CNCERT）与中国网络空间安全协会联合发布《OpenClaw安全使用实践指南》，标志着官方首次对这一新兴技术形态进行系统性风险警示与规范引导。这份指南的核心，直指OpenClaw作为“执行者”而非“聊天者”的本质——它具备系统指令执行、文件读写、API调用等高权限能力，一旦配置不当或遭恶意利用，极易导致远程接管、数据泄露乃至恶意代码执行等严重后果。

风险的核心在于权限与不可见性。为了让“龙虾”高效完成自动化任务，用户常会授予其访问本地文件、调用浏览器登录状态、连接网络服务等高权限。然而，与执行单一指令的传统软件不同，OpenClaw会将一个任务拆解为包含打开网页、登录账号、获取数据、处理内容、发送结果等一连串后台操作的完整链路。整个过程往往在用户无感的情况下自动完成，任何一个环节被误导或劫持，都可能将局部错误放大为系统性灾难。用户面临的威胁，已从“它会不会做错”升级为“它能在我的系统里做到哪一步”。

官方指南的发布，正值钉钉“悟空”、腾讯“QClaw”、网易有道“LobsterAI”等国内厂商纷纷推出产品，大幅降低OpenClaw使用门槛之际。此举不仅是对企业和个人用户的明确安全指引，也预示着该领域将面临更严格的监管审视。对于正在快速普及的自动化AI代理生态而言，如何在释放生产力潜能与构建安全边界之间取得平衡，已成为一个无法回避的紧迫议题。